VPC内のEC2サービスに対するShield Standardの適用について

0

VPC内のEC2サービスに対するDDoS対策について確認したいと思います。

まず、Shield Standardによる基本的なDDoS防御は、EC2インスタンスに割り当てられたグローバルIPにも適用されている認識です。
参考:https://forums.aws.amazon.com/thread.jspa?messageID=758266

この場合、Shield StandardによるDDoS防御は、ネットワークACLやセキュリティグループより内側で働く認識で間違いないでしょうか?

Edited by: matsushy on Mar 21, 2018 8:52 PM

Edited by: matsushy on Mar 22, 2018 1:34 AM

2 réponses
0

以下は私の個人的な想像が含まれるため、正確性には期待しないでください。

登録が必要なサイトのリンクで恐縮ですが、以下を参照すると外部との通信は必ず Transit Center を経由する物理構成になっているという事です。

https://codezine.jp/article/detail/9787?p=2

これはリージョン単位に設けられている設備なので、リージョン全ての AZ の全インスタンスの通信が集約されるという事は、一部に対する攻撃がリージョン全体に影響を及ぼす可能性があるという事になると考えられます。
そうなると、AWS のリージョンとしてサービスの継続性を考えたときに、この Transit Center に流れ込む前の段階でなんらかの対策を講じておかなければいけない必然が生じるのではないかと考えています。

上記の結果 Shield Standard が全ユーザーに適用されている、と考えるとネットワークACLやセキュリティグループより外側でも働く部分があるのではないかと認識しています。

semnil
répondu il y a 6 ans
0

記事のご紹介ありがとうございました。

続きの記事の
https://codezine.jp/article/detail/9790
のMapping Serviceによるネットワーク仮想化の仕組みや、
https://codezine.jp/article/detail/9791
のBGPの誤広告による大規模通信障害の事例等もDDoSとは直接関係無いですが大変参考になりました。

セキュリティグループやネットワークACLによるブロックには少なくともMapping Serviceへの問い合わせの結果が必要になりそうですね。

répondu il y a 6 ans

Vous n'êtes pas connecté. Se connecter pour publier une réponse.

Une bonne réponse répond clairement à la question, contient des commentaires constructifs et encourage le développement professionnel de la personne qui pose la question.

Instructions pour répondre aux questions